Proofpoint ha individuato e analizzato un temibile malware, noto come WikiLoader, che sta prendendo di mira il nostro paese.
Questo agisce distribuendo un trojan bancario forte di un alta capacità elusiva. Secondo i dati ottenuti da Proofpoint, l'agente malevolo è stato realizzato dal gruppo noto come TA544. WikiLoader è stato individuato in almeno otto campagne malware registrate dal dicembre dello scorso anno ad oggi. La strategia adottata per la diffusione comincia con e-mail che contengono allegati come file Excel, PDF o contenuti di OneNote.
Come affermato dagli esperti "Gli allegati di Microsoft Excel contengono macro VBA caratteristiche che, se abilitate dal destinatario, scaricano ed eseguono un nuovo downloader non identificato che i ricercatori di Proofpoint alla fine hanno soprannominato WikiLoader". VBA si riferisce al linguaggio di programmazione Visual Basic for Applications integrato nella suite Office.
WikiLoader: anche l'Agenzia delle entrate e servizi di corrieri nel mirino degli hacker
Secondo Selena Larson, analista senior dell'intelligence sulle minacce presso Proofpoint "Sembra che i suoi autori apportino modifiche regolari per cercare di rimanere inosservati per volare sotto i radar. È probabile che più attori di minacce criminali lo utilizzino, in particolare quelli noti come broker di accesso iniziale che conducono attività regolari che portano a ransomware".
Il codice sorgente del malware Ursnif è apparso online per la prima volta nel 2015, consentendo agli aggressori di sviluppare versioni più personalizzate e più difficili da rilevare del trojan utilizzato con WikiLoader.
Ursnif, noto anche come DreamBot e Gozi ISFB, è progettato per rubare password e credenziali dalle vittime, concentrandosi prevalentemente sul settore bancario e finanziario. Le varie campagne malware legate a WikiLoader hanno falsificato servizi come l'Agenzia delle Entrate, ma anche alcuni servizi di corrieri.
Al fine di evitare potenziali infezioni, i ricercatori di Proofpoint hanno raccomandato di disabilitare le macro come impostazione predefinita sui computer e di bloccare l'esecuzioni di file presenti nei documenti OneNote.